Wie lässt sich testen, welches DFN-PCA-Zertifikat auf einem Server installiert ist?

Inzwischen gibt es drei verschiedene DFN-PCA-Zertifikate im Sicherheitsniveau Global, ausgestellt im:

  • Dezember 2006
  • Februar 2014
  • Juli 2014

Das DFN-PCA Zertifikat von Februar 2014 darf nicht mehr verwendet werden. Die Hintergründe hatten wir beschrieben: Austausch des DFN-PCA-Zertifikats, Sicherheitsniveau Global

Insbesondere auf Servern könnte dieses DFN-PCA-Zertifikat installiert worden sein, und von dort während des SSL-Handshakes an Clients verteilt werden.

Da es bei vielen Servern recht mühsam ist, in allen Konfigurationen nachzuschauen, haben wir ein kleines Skript entwickelt, was als Client prüft, welches DFN-PCA-Zertifikat ausgeliefert wird. Es ist verfügbar unter: https://info.pca.dfn.de/doc/testserver.sh

Das Skript wird mit dem Namen des zu testenden Servers aufgerufen, optional mit dem Port. Als Beispiel:

$ ./testserver.sh www.dfn.de

OK: www.dfn.de:443 liefert das PCA-Zertifikat von Juli 2014 aus.

Aktuell besteht für Sie kein Handlungsbedarf.

Das Skript kann nur HTTP-Server testen. Für SMTP- oder IMAP-Server mit STARTTLS muss entweder eine Anpassung vorgenommen oder doch die Serverkonfiguration direkt untersucht werden.

(jbr, 14.08.2014)